Need-to-Knowの原則とは【用語集詳細】
Need-to-Knowは、ユーザーのアクセスできる情報を、その職務に関連する範囲にのみ制限すべきとする原則です。ある情報が意図しないユーザーなどに知られることによる機密性の毀損を防ぐことがその目的です。
この原則は特に情報機関・軍事分野で用いられてきましたが、情報セキュリティの世界でも適切なアクセスコントロールを要約する概念として利用されています。
Need to Knowの原則では、ユーザーが特定レベルの機密情報にアクセスする資格を保有していたとしても、当該レベルに分類された情報すべてにアクセスすることはできません。ある機密情報にユーザーがアクセスするためには、組織が定めた必要性などの基準に、ユーザーが一致している必要があります。